Public 360 Online Datasikkerhet

Transkript

1 Public 360 Online Datasikkerhet Ver. 1.0 Mars 2014 Public 360 Online er en tjeneste som leveres av Software Innovation og som driftes på Microsoft Windows Azure. Azure er valgt som skyplattform ettersom den oppfyller markedets strengeste sikkerhetskrav ved å sikre at kundens data er trygt lagret - vernet fra uautorisert tilgang, dataangrep og uventede systemfeil. Dette dokumentet forklarer hvordan Public 360 Online hjelper deg å administrere ditt foretaks opplysninger etter gjeldende lover og bestemmelser. Dokumentet vil bli oppdatert løpende og er ikke bindende med mindre det er inngått en eksplisitt avtale om dette. Software Innovation AS Rolfsbuktveien 4C N-1364 Fornebu

2 Innledning... 3 Sikkerhet og driftspålitelighet... 3 Datasikkerhet og personvern... 3 Databehandleravtale... 3 Prosess og innsyn... 4 Sikkerhetsrevisjon... 4 Microsoft som underleverandør til Software Innovation... 4 Software Innovations sikkerhetsprosedyrer- FAQ... 5 Har kunden full kontroll over hvem hos leverandøren som kan se og endre dataene?... 5 Hvordan bruker leverandøren dataene?... 6 Hvor befinner dataene til enhver tid seg rent fysisk (også kopier)?... 6 Hvem eier serverne der dataene lagres (underleverandører inkludert)?... 6 Hvilke lover gjelder for denne typen data i de landene serverne står hvis de står utenfor Norge?... 6 Har kunden like mye tilgang til sine data som om de hadde serveren under egen kontroll?... 7 Hva som skjer med tilgangen til dataene ved opphør av avtalen?... 7 Er alle de tiltakene som Datatilsynet foreslår blitt gjennomført?... 7 Delt ansvar... 8 Noen nyttige lenker... 9 Public 360 Online Datasikkerhet Side 2 av 9

3 1. Innledning Public 360 Online er en tjeneste som leveres av Software Innovation og som driftes på Microsoft Windows Azure. Azure er valgt som skyplattform siden den oppfyller markedets strengeste sikkerhetskrav ved å sikre at kundens data er trygt lagret - vernet fra uautorisert tilgang, dataangrep og uventede systemfeil. Dette dokumentet forklarer hvordan Public 360 Online hjelper deg å administrere ditt foretaks opplysninger innenfor rammen av gjeldende lover og bestemmelser. Dokumentet vil bli oppdatert løpende og er ikke bindende med mindre det er inngått en eksplisitt avtale om dette. 2. Sikkerhet og driftspålitelighet Public 360 Online driftes på Azures geografisk distribuerte datasentre som er i overenstemmelse med sentrale markedsstandarder for sikkerhet og drift, slik som ISO/IEC Sentrene er administrert og overvåket av Microsoft driftspersonell som har mange års erfaring med å levere verdens største nettbaserte tjenester med døgnkontinuerlig oppetid. I tillegg til etablert praksis innenfor datasentre, nettverk og driftspersonell, inkorporerer også Azure retningslinjer for økt sikkerhet for applikasjonsutviklere og driftsadministratorer. Tilgang på kundedata for ansatte i Software Innovation er strengt kontrollert. Se punkt 4 for detaljer. All kommunikasjon mellom kundens computer og Public 360 Online serveren er sikret ved hjelp av SSL-kryptering. Tilgang til Public 360 Online er typisk kontrollert av kundens egen Active Directory (AD), og autentiseringen til løsningen vil være den samme som for kundens andre virksomhetssystemer. Kunder bør sette en passordspolicy (passordsstyrke, utbyttingsfrekvens, sperring mm.) som er passende for deres bruk av Public 360 Online og informasjonen systemet inneholder. Du kan lese mer om sikkerhet og databehandling på Azures hjemmeside: 3. Datasikkerhet og personvern Databehandleravtale Kontrakten som utstedes i forbindelse med anskaffelsen av Public 360 Online inkluderer en databehandleravtale basert på Datatilsynets mal: Avtalens hensikt er å regulere rettigheter og plikter etter Lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) og forskrift av 15. desember 2000 nr (personopplysningsforskriften). Public 360 Online Datasikkerhet Side 3 av 9

4 Prosess og innsyn Software Innovation skal følge de rutiner og instrukser som legges til grunn i databehandleravtalen, og i henhold til de minimumskrav som følger av Personopplysningsloven med forskrift og EU Data Protection Directive for behandling av data som kunden til enhver tid har bestemt skal gjelde. Software Innovations sikkerhetsprosesser er beskrevet i punkt 4 slik at kunden kan ivareta sitt eget ansvar etter gjeldende regelverk. Kunden har rett til innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Software Innovation har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. avtalen. Software Innovation skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningslovens med forskrifter. Software Innovation skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på kundens forespørsel. Avviksmelding etter personopplysningsforskriftens 2-6 skal skje ved at Software Innovation melder avviket og handlingsplan til kundens systemeier via e-post. Kunden har ansvaretet for at avviksmelding sendes Datatilsynet. Sikkerhetsrevisjon Software Innovation engasjerer periodevis et eksternt sikkerhetsselskap som er spesialisert på skytjenester (Watchcom). Sikkerhetsselskapet foretar en revisjon av datasikkerheten og sikkerhetsprosedyrene knyttet til vår skytjeneste. I tillegg til dette skal kunden avtale jevnlige sikkerhetsrevisjoner av systemer og annet som omfattes av denne avtalen med Software Innovation. Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller eller andre egnede tiltak. Kunden bærer alle kostnadene ved slike revisjoner. Hvis revisjonen avdekker vesentlige feil eller mangler skal kunden fortsatt betale kostnadene ved revisjonen. Microsoft som underleverandør til Software Innovation Microsoft er den eneste underleverandøren til Software Innovation i leveringen av Public 360 Online, Microsoft er den eneste underleverandøren til Software Innovation i leveringen av Public 360 Online, og det foreligger en databehandleravtale mellom partene. Public 360 Online er driftet innenfor EU på Microsoft Windows Azure. Microsoft har i forbindelse med leveranser i Norge utarbeidet en databehandleravtale som henviser til Europaparlamentets- og rådsdirektiv 95/46/EF av 24. okt om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (personverndirektivet). Når Microsoft viser til Directive 95/46/EC innebærer det at det vises til regelverket slik det er gjennomført i Personvernloven, og er dermed i overenstemmelse med norsk lov. Public 360 Online Datasikkerhet Side 4 av 9

5 Software Innovation bekrefter for at Microsoft Azure databehandleravtale er i tråd med norsk personvernlovgivning. 4. Software Innovations sikkerhetsprosedyrer- FAQ Datatilsynet anbefaler at kunden gjennomfører en risikoanalyse før de begynner å bruke skytjenester. Dette punktet vil søke å gi svar på viktige spørsmål som vil hjelpe kunden med å avgjøre hvorvidt Public 360 Online på Windows Azure kan imøtekomme kundens behov. Risikoanalysen og spørsmålene under er basert på Datatilsynets retningslinjer: Har kunden full kontroll over hvem hos leverandøren som kan se og endre dataene? Ja. Software Innovation kontrollerer tilgang til skytjenesten og dens data gjennom en rettighetsmatrise. Det er fire sikkerhetsnivåer: Nivå 1 (laveste nivå) - Monitorering - tilgang til data om tilgjengelighet, oppetid, ytelse mm. Nivå 2 - Kundekonfigurering - opprette og konfigurere kunder, sende varsler mm. Nivå 3 - Tjenestevedlikehold - konfigurere infrastruktur, skalere tjenesten, produktoppgraderinger mm. Nivå 4 (høyeste nivå) - Infrastruktur - tilgang til servere, lagring, back-up, nettverk, sertifikater mm. Tilgang til kundedata er mulig på nivå 4. Vi har definert fem roller: Administrator (lokalisert i Norge). Tre senior R&D ansatte. Ansvarlige for tilgangskontroll. Drift - Norge Drift - India Service & Support - Norge Observatør - til bruk for monitorering av tjenesten. Public 360 Online Datasikkerhet Side 5 av 9

6 Rollene og rettighetene fordeles som vist i tabellen: Rettigheter / Rolle Admin: Norge Drift: Norge Drift: India Service & Support: Norge Observatør Tjeneste Monitorering (Level 1) x x x x x Opprette Kunde (2) x x x Slette Kunde (2) x x Send Varsling (2) x x x Tjenestevedlikehold (3) x x x Infrastrukturtilgang (4) Rettighetsstyring (4) x x Hvordan bruker leverandøren dataene? Software Innovation behandler ikke personopplysninger på annen måte enn det som er skriftlig avtalt med kunden og i henhold til databehandleravtalen. Opplysningene overlates ikke til noen andre enn nettskyleverandøren som er forpliktet på samme måte, og kan heller ikke bearbeides eller benyttes til andre formål. Hvor befinner dataene til enhver tid seg rent fysisk (også kopier)? For norske kunder vil produktet installeres i Windows Azures datasentre i Irland og Nederland, og kundens data oppbevares der. Kunden kan beholde en lokal kopi av dataene i Public 360 Online ved å benytte et eksportverktøy fra Software Innovation. På den måte dataene eksporteres til en lokal disk, noe som vil være i overenstemmelse med Arkivloven 9 ( Hvem eier serverne der dataene lagres (underleverandører inkludert)? Serverne eies og driftes av Microsoft. Ingen andre underselskaper er involvert i å levere tjenesten Public 360 Online. Hvilke lover gjelder for denne typen data i de landene serverne står hvis de står utenfor Norge? Serverne eies og driftes av Microsoft og ligger i Irland og Nederland, og kundens data oppbevares der. Microsoft har akseptert EU sin personvernlovgivning som er samsvarende med norsk personvernlovgivning, og gjennom det norske regelverket kan persondata lagres innenfor EU-land forutsatt at det er inngått en databehandleravtale mellom kunden (Behandlingsansvarlig) og tjenesteleverandøren (Databehandleren. Public 360 Online Datasikkerhet Side 6 av 9

7 Har kunden like mye tilgang til sine data som om de hadde serveren under egen kontroll? Tjenester som driftes på Azure, som Public 360 Online, representerer en høy grad av tilgjengelighet ovenfor kunden. Et overblikk over tjensestenivåene er tilgjengeligjort her: I enkelte tilfeller vil Software Innovation planlegge nedetid for tjenesten. Denne nedetiden vil bli varslet til kunden i forkant og vil finne sted utenfor arbeidstid. Hva som skjer med tilgangen til dataene ved opphør av avtalen? Ved opphør av avtalen vil alle tilganger bli sperret. For å redusere risiko vil Software Innovation slette alle kundedata innen tre måneder etter avslutning av tjenesten. Software Innovation kan tilby følgende alternativer for at kunden kan overta sine egne data og dokumenter: Kunden får tilgang til det standardprogrammet som finnes i 360 for å eksportere en database/arkiv på NOARK 5 XML format. Dette vil gjøre det mulig for kunden enten å avlevere data og dokumenter til en arkivmyndighet, eller til å benytte de eksporterte data for import til en annet NOARK 5 basert løsning Er alle de tiltakene som Datatilsynet foreslår blitt gjennomført? Datatilsynet har vurdert bruken av nettskytjenester hos Narvik (Google) og Moss ( Office 365) kommune som er offentlige foregangsvirksomheter i Norge når det gjelder administrering av persondata i skytjenester. Konklusjonen er at tilsynet åpner for bruk av tjenestene. Narvik kommune kan fortsette å bruke Google Apps, og Moss har fått veiledning i bruken av Microsoft Office 365. Software Innovation har satt seg inn i Datatilsynets råd og veiledninger i forbindelse med Narvik og Moss sin bruk av nettskytjenester, og støtter opp om de sammen prinsippene i Public 360 Online. I Arkivlovens 9 om "Kassasjon" heter det: "Utan i samsvar med føresegner gjevne i medhald av 12 i denne lova eller etter særskilt samtykke frå Riksarkivaren, kan ikkje arkivmateriale [ ] førast ut or landet, dersom dette ikkje representerer ein naudsynt del av den forvaltningsmessige eller rettslege bruken av dokumenta". Public 360 Online driftes av Software Innovation på en infrastruktur leid inn fra Microsofts datasentre i Irland/ Nederland. Dette betyr at metadata og dokumenter lagres på servere innenfor EU/EØS området. For å sikre at dokumenter som er endelig arkivert i systemet (også) finnes innen landets / Norges grenser, gir Software Innovation tilgang til standardprogrammet som finnes i Public 360 for å eksportere metadata og dokumenter på NOARK 5 eksport format. På den måten kan man jevnlig foreta back-up av dataene og dokumentene i løsningen til en lokal filserver. Public 360 Online Datasikkerhet Side 7 av 9

8 5. Delt ansvar Det er viktig å merke seg at skyplattformer som Public 360 Online på Windows Azure krever et delt ansvar mellom kunden, Software Innovation og Microsoft. Software Innovation og Microsoft er ansvarlige for plattformen, og må etterstrebe å tilby en skytjeneste som til enhver tid møter kravene fra kundene vedrørende retningslinjer knyttet til datasikkerhet og personvern. Kundene er selv ansvarlige for deres eget miljø i det tjenesten har blitt satt i drift, inkludert programvare, datainnhold, virtuelle maskiner og tilgangsstyring. Public 360 Online på Azure muliggjør for kundene våre å følge gjeldende lovgivning, men det er opp til kunden å evaluere tjenesten opp mot egne behov gjennom en risikovurdering. Det vil si at kunden skal avgjøre om tjenesten tilfredsstiller deres regulatoriske krav som er definert i Datatilsynets veiledning for risikovurdering av informasjonssikkerhet: og ihht Personopplysningsloven med tilhørende forskrift. "Den behandlingsansvarlige skal gjennomføre en risikovurdering for sin behandling av personopplysninger. Risikovurderingen må ses i sammenheng med etablerte akseptkriterier for risiko, og den behandlingsansvarlige skal iverksette nødvendige tiltak for å oppnå en tilfredsstillende informasjonssikkerhet." Software Innovation ønsker å være behjelpelig med ytterligere detaljert informasjon om skytjenester, slik at kundene på en enkel og god måte kan utføre sine egne risikovurderinger. Public 360 Online Datasikkerhet Side 8 av 9

9 6. Noen nyttige lenker Datatilsynets mal for databehandleravtale: Datatilsynet retningslinjer for risikovurdering: Arkivloven: Windows Azure - tillitssenter: Windows Azure - tjenestenivåer: Public 360 Online Datasikkerhet Side 9 av 9